【セキュリティ】原神のアンチチートを悪用しアンチウイルス回避。ランサムウェアへの応用事例が確認 [香味焙煎★]
■ このスレッドは過去ログ倉庫に格納されています
Trend Microは24日(現地時間)、オンラインRPGゲーム「原神」のアンチチート用ドライバがランサムウェアの展開に悪用されているとして、情報を公開した。
7月末に、エンドポイント保護が適切に設定されたユーザーの環境において、ランサムウェアに感染する事例が発生。同社が解析を行なったところ、コード署名済みのドライバ「mhyprot2.sys」を特権回避に悪用し、カーネルモードからエンドポイント保護プロセスをキルした上で、ランサムウェアを実行。ファイルの暗号化、身代金を要求する文書(ランサムノート)や大規模展開に向けたファイルの設置などを行なっていたという。
mhyprot2.sysは、デバイスドライバとして原神のアンチチート機能を提供しており、コード署名は現在も有効。なお、悪用に際しては、攻撃対象のデバイス上に原神がインストールされている必要はなく、mhyprot2.sys単体で利用できるとしている。
このアンチチートドライバについては、原神のリリース直後にも、ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、特権回避が可能であるといった報告がコミュニティであがっていた。さらに、これを利用した攻撃に関する概念実証も行なわれ、開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして修正が提供されていないという。
同社では、mhyprot2.sys自体が正規の署名済みドライバで入手しやすいこと、特権回避の面で汎用性が高いこと、有用性の高い概念実証がすでに存在すること、長期に渡って影響する恐れがあることなどから、あらゆるマルウェアに組み込まれる可能性があるとして、注意喚起をしており、今後も調査を続けるという。
Impress
2022年8月26日 17:52
https://pc.watch.impress.co.jp/docs/news/1435071.html AndroidとiOSは関係ないと思われ(.sysというドライバファイルの概念を使わないので)
PS4,5はシステムわからんが少なくともPC版の話かな
HoYoverse垢でクロスプラットフォームで遊んでる人もいちおう気をつけた方がいいのかな 平井デジタル大臣を使って香川でやってるようなゲーム規制を全国に広げようとしてた壺信者が俄然張り切ってますw CCCDより強いなら安心して死ねるな
ガチでヤバイじゃん >>72
原神インストールしたことなくても
このファイルを相手PCに送り込めれば攻撃が楽になる犯罪者お助けツール miHoYoが出してなければ脆弱性として駆除されてもオカシクないレベルだな >>76
PSと原神の規約は全く違うぞ?原神が原因で何かあっても一切保障はないってmiHoYoの規約に同意しただろ?PSがハックされたりしてもソニーもmiHoYoも取り合わないからなw ちょっとカタカナ多すぎて何が書いてあるのかわからないです
アンチでアンチをアンチに使うみたいな感じか >>67
CCCDは知識ない素人でもソフト一つで回避できるからなぁw 報告済みだったのにスルーして放置かぁ…
さて、賠償金は何千億になるか 中華製はハードもソフトも危険だな
ユーザーはサイバー戦において知らず知らずのうちに敵国の協力者に仕立て上げられるだろう
アメリカが中華製の規制に躍起になる訳だよ
日本は平和ボケだな
警察も元首相の暗殺みすみす許すようなへっぽこだし
一回ウクライナみたいに侵略戦争されてからでないと国民レベルから危機感持って取り組めるようにはならないのだろうか 今のアンチウイルスソフトは hosts という名前のファイルを中身を見もせずにホスト不正書き換えファイルと見做してウイルス扱いしてくるので…
ありがたいシステムであると同時にめんどくさいシステムでもある
それはそれとしてnProまでアンチウイルスに引っかかるのはさすがにどうなんだろ 何を今更
中華ゲーいれるならクレカ差し出す覚悟ぐらいしとけよ とりあえず署名つきドライバの署名不正扱いにする方法教えて >>86
アズレンやドルフロやアークナイツ遊んでる人らにその暴言は吐けないなさすがに このゲーム触ったことないやつもやばいという話なのに理解してないやつ多すぎだろ >>27
普通のアップデータがほかのフォルダのファイル削除した某ゲームの悪口はやめてさしあげろ >>27
Vita民だったから免れたが、某王国2は衝撃的だった。
まぁ幾ら出来が良くても所詮共産党産か。触らんで良かった。 >>16
ゲームの起動ランチャーとかもバックドアとキャプチャ機能内蔵しててやりたい放題だったよな オンゲそのものがヤバいからな
チート防ごうと思ったら仕込むしかないんだけど
どうしてもやりたかったら専用のPC用意しろってこった そもそも支那産の無料アプリな時点でお察しだろ
ほぼバックドアアプリでインスコしたら終わりだし >>92
その通りだけど、インストールの切っ掛けを提供してるってだけでもうね
俺なんかPS4ですら原神やる気しないわ とりあえずスチームとエピックとブリのランチャーのテレメトリうざい。絶え間なく何かを送信しやがって。 覚えてる人いるか知らんけど、ThinkPadがレノボ製になった途端、妙なレノボ製ミドルウェアが沢山入っててしかも削除されない
気持ち悪くなって早々に売ったわ
IBMが作ってたときのThinkPad使っててトラックポインタが便利でよかったので買ったんだけど残念だった思い出 >>104
割とBIOS色んなCPU認識してくれたから載せ替えて遊んでたなThinkPadで >>104
Bios経由か知らんが管理アプリ入れて来るんだろ?富士通の2013年あたりのA8搭載ノートもクリインしても富士通バッテリー管理アプリが勝手にダウンロードされてキモかったから速攻売却した。 ランサムウェアってバックアップさえきちんとしてりゃ問題なし? これリリース時にも指摘されて問題になってたやつじゃん
やっぱり悪さしてたか😂 アンチチートも調子にのりすぎやな
そろそろ締め付けろ >>78
送り込むだけじゃだめだろ
ドライバなんで一度インストールして組み込まないと。 リリース時からの問題で放置されてたのがまた騒がれ出して表に出てきたってのに異様に燃えないな
展開的にタチ悪いし日本内でもトップクラスのアプリのはずなんだが 何故ってそりゃあ、広告費をもらってるスポンサー様だからでしょ 二次元おまんこに釣られてOS破壊される子供部屋おじさん そら共産党は倫理観ゼロで騙された方が悪い価値観なんだから、釣られてインストールしたのが悪いわな。
最悪なのは土台から周囲に感染する可能性も高い罠。 認証権限が多岐に渡りすぎてるから回避用として流用されてるって話だよな?
ゲームやってるかどうかは関係なくね? ゲームやってたらバックドア仕込まれ率100%
そうじゃなくても署名付きドライバだから、何の関係もない野良インストーラから気付かないうちにバックドアが入る率が高い
あとはsysの起動トリガーがブラウザから投げれるんだったら、ハッキングされた踏み台サイト見た瞬間にバックドアから侵入されて死亡するってだけだな なんかよくわかってないやつ多すぎる
こういうのは動作原理調べて自分で守らなくちゃ >>121
まあな。脆弱性なんて開発元が認めない限りは存在しない事になるから実被害が発生したら被害者を募って訴訟てのがスジよな。 mhyprot2.sysはもう原神で使ってなくてmhyprot3になってるから失効させなくてもアンチウィルス側で決めうちやってしまってもいい。 ■ このスレッドは過去ログ倉庫に格納されています